Qu'est-ce que la Conformité de Sécurité AD ?
Les cadres de conformité — NIS2, ISO 27001, SOC 2, Contrôles CIS, ANSSI — définissent des exigences de sécurité de base pour l'infrastructure d'identité. Pour les organisations utilisant Active Directory ou Azure Entra ID, ces cadres se traduisent en contrôles techniques concrets : politiques de mots de passe, gestion des accès privilégiés, journalisation d'audit, application du MFA et gestion des vulnérabilités.
Cet article fait le lien entre les exigences de conformité les plus courantes et les contrôles Active Directory et Azure spécifiques qui les satisfont.
ℹ️ Note : La conformité n'est pas la même chose que la sécurité. Un environnement conforme peut toujours être compromis. Mais les contrôles requis pour la conformité — correctement implémentés — réduisent significativement la surface d'attaque.
Cartographie des Cadres de Conformité
Directive NIS2 (UE, 2024)
NIS2 exige que les entités essentielles et importantes implémentent des mesures techniques appropriées pour la sécurité des identités :
| Exigence NIS2 | Contrôle AD/Azure | Vérification EtcSec |
|---|---|---|
| Authentification multifacteur | MFA pour tous les comptes privilégiés | CA_NO_MFA_REQUIREMENT, PA_GLOBAL_ADMIN_NOT_MFA |
| Politiques de contrôle d'accès | Moindre privilège, gestion des accès privilégiés | EXCESSIVE_PRIVILEGED_ACCOUNTS, PA_PIM_NOT_ENABLED |
| Politiques de mots de passe | Longueur minimale, complexité, rotation | PASSWORD_POLICY_WEAK, PASSWORD_NEVER_EXPIRES |
| Détection d'incidents | Journalisation d'audit, intégration SIEM | Vérifications catégorie Monitoring |
| Sécurité de la chaîne d'approvisionnement | Contrôles d'accès tiers et invités | GUEST_INVITATION_UNRESTRICTED |
Contrôles CIS v8
| Contrôle CIS | Exigence | Implémentation AD |
|---|---|---|
| CIS 5 | Gestion des comptes | Désactiver les comptes obsolètes, appliquer le cycle de vie |
| CIS 6 | Gestion du contrôle d'accès | Moindre privilège, PAW |
| CIS 12 | Gestion de l'infrastructure réseau | Chiffrement Kerberos, restrictions NTLM |
| CIS 17 | Gestion de la réponse aux incidents | Politique d'audit, rétention des logs |
ISO 27001:2022
| Contrôle | Description | Mapping AD |
|---|---|---|
| A.5.15 | Contrôle d'accès | Implémentation RBAC, gouvernance des groupes |
| A.5.17 | Informations d'authentification | Politique de mots de passe, MFA |
| A.8.2 | Droits d'accès privilégiés | PAW, PIM, gouvernance des comptes DA |
| A.8.5 | Authentification sécurisée | MFA, Kerberos AES, NTLMv2 uniquement |
Recommandations ANSSI
# ANSSI recommande : chiffrement Kerberos AES uniquement
Set-ADDefaultDomainPasswordPolicy -Identity corp.local -KerberosEncryptionType AES128,AES256
# ANSSI recommande : activer Protected Users pour tous les admins
Add-ADGroupMember -Identity "Protected Users" -Members (Get-ADGroupMember "Domain Admins")
Evaluation des Lacunes de Conformité
Etape 1 - Établir une Base de Référence
# Politique de mots de passe rapide
Get-ADDefaultDomainPasswordPolicy | Select-Object MinPasswordLength, ComplexityEnabled, MaxPasswordAge
# Status de la politique d'audit
auditpol /get /category:"Account Logon","DS Access","Account Management" | Select-String "Success|Failure"
Etape 2 - Cartographier les Lacunes vers les Contrôles
$verifications = @{
"Longueur min mot de passe >= 12" = (Get-ADDefaultDomainPasswordPolicy).MinPasswordLength -ge 12
"Complexité mot de passe activée" = (Get-ADDefaultDomainPasswordPolicy).ComplexityEnabled
"Durée max mot de passe <= 90j" = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days -le 90
"Audit DS Changes activé" = (auditpol /get /subcategory:"Directory Service Changes") -match "Success"
}
$verifications.GetEnumerator() | ForEach-Object {
[PSCustomObject]@{
Contrôle = $_.Key
Statut = if ($_.Value) { "CONFORME" } else { "NON CONFORME" }
}
} | Format-Table -AutoSize
Etape 3 - Prioriser par Impact sur le Risque
- Critique : MFA non appliqué, comptes DCSync capables, délégation non contrainte
- Haute : Politique de mots de passe faible, pas de journalisation d'audit, comptes privilégiés excessifs
- Moyenne : Comptes obsolètes, LAPS manquant, pas de politiques affinées
- Faible : Conventions de nommage, lacunes documentaires
Remédiation
💡 Action Rapide : Exécutez l'outil CIS-CAT Lite gratuit contre vos Contrôleurs de Domaine pour obtenir un rapport scoré avec des étapes de remédiation spécifiques.
Séquence de Remédiation Prioritaire
- Activer le MFA pour tous les comptes privilégiés
- Activer la journalisation d'audit — Politique d'Audit Avancée sur tous les DCs
- Corriger la politique de mots de passe — minimum 14 caractères, complexité, max 90 jours
- Supprimer les membres DA excessifs
- Déployer LAPS
- Désactiver les comptes obsolètes
- Activer Kerberos AES uniquement
Comment EtcSec Détecte Cela
EtcSec mappe ses 426 vérifications de vulnérabilités directement aux exigences des cadres de conformité. Chaque résultat dans un rapport EtcSec inclut :
- La mauvaise configuration spécifique détectée
- Le niveau de risque (Critique/Haute/Moyenne/Faible)
- Les cadres de conformité affectés (NIS2, CIS, ISO 27001, ANSSI)
- Des conseils de remédiation étape par étape
ℹ️ Note : EtcSec mappe tous les résultats aux cadres de conformité automatiquement. Lancez un audit gratuit pour voir votre posture de conformité NIS2, CIS Controls et ISO 27001.
Articles connexes : Supervision Sécurité AD | Sécurité Mots de Passe AD
